简易风险评估标准-PI矩阵供参考学习.docVIP

简易风险评估标准-PI矩阵 鉴于风险评估存在各种不同的标准，并没有统一的标准，有的标准用乘法，有的标准用加法，其公式均比较复杂，实践中难以操作，但各种风险评估所采用的理论依据则是相通的，参见下图： ??图 风险评估依据在各种标准中，威胁（病毒、木马、蠕虫、天灾、人祸等）出现的频率、脆弱性（漏洞、弱点等）的严重程度，并不能准确的量化，很大程度上来自评估人的经验和主观感受，据此得出的可能性（即概率P）和损失（即影响I）同样存在准确度不高的问题。在实际评估中，安全事件发生的可能性也是可以直接根据经验和主观感受得出的，所以本文删繁就简，直接基于概率（Probability）-影响（Impact）（简称PI矩阵），提出一种简易的风险评估定级模型。为简化计算，只考虑单一风险的情况，如果涉及到定级，则统一划分为三级以便分析。复合风险（含串行风险、并行风险以及它们的组合）可以在单一风险评估之后再行评估。公式： 风险（R）=概率（P）×影响（I） ，其中概念（P）取值范围为0～1，影响（I）按照资产价值取值，取值范围为0～资产价值。则风险（R）的取值范围为0～资产价值。这里我们假设某组织的全部资产价值为1000万，最大的风险是损失全部资产，如果采取平均分级（三级）的办法，那么最小一级的上限也有333万，这仍是一个比较大的数字，明显不符合人们对低损失的心理预期；如果按照指数级数进行分级，分